Интернет-Банкинг, Украина. Безопасность. Общий взгляд.

Прежде, чем давать какие-то "рекомендации", опишу какие-то общие.. Принципы? Правила? Положения? Из чего вообще я исхожу, пытаясь обеспечить какую-то "безопасность"? Какие существуют взгляды и заблуждения?

Примечание: Все случаи, приведенные ниже, мною придуманы. Любые совпадения с реальными событиями - случайны.

Первое. "Абсолютная защита".

И самое, на мой взгляд, существенное. Абсолютной защиты не бывает. Если лично вашим компьютером, системой, банкингом заинтересуется профессионал/организация, то скорее всего, они получат доступ к вашим данным, и, скорее всего, вы вряд ли это заметите. В худшем случае, к вам придут "физически" (и это, как правило, стоит гораздо дешевле, чем вскрывать Вашу защиту "по сети").

Впрочем, я вру. Абсолютная защита есть - не подключать компьютер к интернету и не входить в сеть :) Но это не по теме "интернет-банкинга".

Я не хочу сказать ничего особенного - просто надо иметь в виду, абсолютной защиты не существует. Те же антивирус/файрволл - пусть даже они у вас установлены, и даже грамотно настроены(!) с повышенным уровнем защиты, "коварный враг" ЗНАЕТ их конструкцию и приципы защиты, "дыры" появляются ежедневно и всегда есть какая-то пауза меж появлением нового "хитрого зверька" и появлением способа его "отлавливания".

Второе. "Шуба на пляже".

Есть тысячи и тысячи людей, использующих WinXP трехлетней давности и без патчей за 3 года, никакого файра-антивируса, пароль "111" на все учетки, почту и сайты.. и не заморачивающихся никакими такими "проблемами безопасности". И это нормально. Если тот же интернет-банкинг использовать исключительно так: внес 256 грн, в течении одного часа проплатил "коммуналку", оставил на счету "ноль" - чем вы рискуете? Какими потерями? Не вижу смысла надевать или брать с собой шубу, отправляясь на пляж.

Третье. "Ремень безопасности"

Любой банк, создавая "интернет-банкинг", создает вместе с ним определенную систему доступа. Любая система доступа обеспечивает две взаимоисключающие задачи. Первая - сделать достаточно простой и быстрый доступ к Вашему счету ДЛЯ ВАС. Второе - сделать невозможным доступ к Вашему счету ДЛЯ ДРУГИХ. Повторюсь - это полностью ПРОТИВОПОЛОЖНЫЕ задачи. Чем "легче" обеспечена одна из них - тем "хуже" обстоит дело со второй.

Забегая немного вперед.. Я считаю, что в ближайшем будущем любой нормальный банк будет предлагать на выбор 3-4 модели доступа и 5-10 уровней безопасности личных данных. И при подключении клиент будет в договоре указывать, какую из моделей доступа он хочет использовать. Даже варианты "Хочу автомобиль без подушек безопасности, без ремней безопасности, с ограничителем скорости 30 км/ч и автоматическими тормозами, срабатывающими, если только в салоне будет произнесено хоть одно громкое слово. На нем будет ездить моя бабушка." - и такое, в принципе, уже возможно! Это огромный кусок работы, ранее не осуществляемый, но уже частично реализованный в "уровнях защиты" Клиент-Банка для юридических лиц. Там уже давно есть разные модели и варианты.

Сейчас же уровней безопасности всего два. Первый - не использовать интернет-банкинг, ходить с бумажными-платежками-ордерами-квитанциями в отделение. Второй - использовать интернет-банкинг "как есть". При этом Банк дает Вам изначально некоторые "ремни безопасности", "подушку", "тормоза" и т.д. А вот как Вы будете их использовать, и будете ли использовать вообще - это уже забота Ваша.

Четвертое. "А казачок-то засланый!"
 

Мне кажется, любой сотрудник Банка, проработавший несколько лет, привыкает несколько раз в год выслушивать от клиента что-то типа "У меня украл деньги Банк! У меня украл деньги Ваш Сотрудник!" Огромное большинство подобных заявлений - просто крики, и последующий разбор это подверждает.

Отдельные, редкие случаи, все же бывают. Но!

Современный банк и его операционный день - довольно сложная система взамосвязанных, сбалансированных и взаимоконтролирующих программных комплексов и модулей, и работа каждого из них логируется. Каждый сотрудник работает "в коллективе", делая часть работы, связываемую с другими частями. "Сверх" всего этого стоит и разнообразный аудит, и информационная безопасность, и камеры наблюдения в залах и кассах.

В разные годы, в разных банках, можно увидеть какое-то количество случаев "внутреннего воровства". Да. Никогда не слышал о случаях, чтобы это прошло, не оставив следов в кассовых документах, в логах работы платежных систем, в журналах аудита и видеозаписях. Абсолютных систем защиты нет нигде, ни у кого. Да, найти "лазейку", что-то где-то списать - иногда такое возможно. А потом этих людей находят - через день, неделю, месяц. Остаются логи и записи! Которых много. Чересчур много для постоянного контроля. Но по любому инциденту - раскапывается и отслеживается все-что-угодно. Возможны случаи, когда кому-то придется "раскапывать" протокола работ и документы за несколько лет - это когда клиент несколько лет не интересовался счетом, и после этого предъявил претензии по поводу операций, выполненных несколько лет назад. В этих случаях "разбор полетов" может занять несколько месяцев, вплоть до подъема из архивов бумажных документов... этак, за 1812 год :)

К чему я это пишу? Это тоже необходимо будет "учесть в рекомендациях".

Пятое. "Лучше или удобнее?"
 

Любые меры безопасности - это всегда неудобно. Это всегда тормоза. Это необходимость всегда что-то "помнить" и "подтверждать". Насколько "удобнее"? Сейчас уже есть порядка десяти, используемых в разных банках, способов и методик той или иной "защиты", некоторые из них становятся уже "типовыми", например, подтверждение операции СМС-кодом. В остальном - есть возможность выбора. И это дело Ваше. По аналогии с авто, такая философская поговорка "Газ есть - будешь ехать. Тормоз есть - будешь жить". Безопасность - понятие сугубо индивидуальное, и только Вам устанавливать ее уровень.

Примечание: Уже год собираюсь написать сравнительный обзор нескольких интернет-банков - разных, и в сравнении по однотипным функциям. Интересно выбрать то, что есть одновременно и лучшее, и удобно. Очень интересно!

Шестое. "Лист в лесу"

Существует, и я сталкивался с этим частенько, большое такое заблуждение: "Трудно найти иголку в стоге сена".

Ерунда! Рота солдат (100 "неквалицифицированных" сотрудников), вооруженных небольшими, мощными магнитами, сделает это в течении часа.

А что в самом деле трудно найти? По-настоящему?

             Примечание: " А где умный человек прячет лист? - В лесу."

             Г.К.Честертон. "Сломанная шпага".
  

"Трудно отыскать лист в лесу".

И к этому наблюдению все же есть примечание. Из одного слова: "Летом".

И даже еще одно: "В лиственном лесу".

Что следует из этих шести "взглядов"?

Выводы и рекомендации. Уже более "практические".

К предыдущей части  Основные проблемы.
К следующей части   Рекомендации,часть 1. "Начальные условия". 

При использовании материалов просьба указывать ссылку на блог:
http://internet-bank-ua000.blogspot.com/2013/11/blog-post.html